Udostępnij za pośrednictwem

Dodatek F: Zabezpieczanie grup administratorów domeny w usłudze Active Directory

Dodatek F: Zabezpieczanie grup administratorów domeny w usłudze Active Directory

Podobnie jak w przypadku grupy Administratorzy przedsiębiorstwa (EA), członkostwo w grupie Administratorzy domeny (DA) powinno być wymagane tylko w scenariuszach kompilacji lub odzyskiwania po awarii. Nie powinno istnieć codzienne konta użytkowników w grupie DA z wyjątkiem wbudowanego konta administratora dla domeny, jeśli zostało zabezpieczone zgodnie z opisem w dodatku D: Zabezpieczanie kont administratorów Built-In w usłudze Active Directory.

Administratorzy domeny są domyślnie członkami lokalnych grup Administratorów na wszystkich serwerach członkowskich i stacjach roboczych w odpowiednich domenach. To domyślne zagnieżdżanie nie powinno być modyfikowane na potrzeby obsługi i odzyskiwania po awarii. Jeśli administratorzy domeny zostali usunięci z lokalnych grup Administratorów na serwerach członkowskich, należy dodać grupę do grupy Administratorzy na każdym serwerze członkowskim i stacji roboczej w domenie. Grupa Administratorzy domeny każdej domeny powinna być zabezpieczona, jak opisano w poniższych instrukcjach krok po kroku.

Dla grupy Administratorzy domeny w każdej domenie w lesie:

  1. Usuń wszystkich członków z grupy, z możliwym wyjątkiem wbudowanego konta administratora dla domeny, pod warunkiem, że został zabezpieczony zgodnie z opisem w dodatku D: Zabezpieczanie kont administratorów Built-In w usłudze Active Directory.

  2. W obiektach zasad grupy połączonych z jednostkami organizacyjnymi zawierającymi serwery członkowskie i stacje robocze w każdej domenie należy dodać grupę DA do następujących praw użytkownika w Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Przypisania praw użytkownika:

    • Odmowa dostępu do tego komputera z sieci

    • Odmowa logowania jako zadanie wsadowe

    • Odmowa logowania jako usługi

    • Odmowa lokalnego logowania

    • Odmowa logowania za pomocą praw użytkownika usług pulpitu zdalnego

  3. Inspekcja powinna być skonfigurowana do wysyłania alertów, jeśli jakiekolwiek modyfikacje zostaną wprowadzone we właściwościach lub członkostwie grupy Administratorzy domeny.

Instrukcje krok po kroku dotyczące usuwania wszystkich członków z grupy Administratorzy domeny

  1. W Menedżerze serwera kliknij Narzędzia , a następnie kliknij Użytkownicy i komputery usługi Active Directory .

  2. Aby usunąć wszystkich członków z grupy DA, wykonaj następujące kroki:

    1. Kliknij dwukrotnie grupę Administratorzy Domeny, a następnie kliknij kartę Członkowie.

      Zrzut ekranu przedstawiający kartę Członkowie w celu usunięcia wszystkich członków z grupy Administratorzy domeny.

    2. Wybierz członka grupy, kliknij przycisk Usuń, kliknij przycisk Tak, a następnie kliknij przycisk OK.

  3. Powtórz krok 2 do momentu usunięcia wszystkich członków grupy DA.

Instrukcje krok po kroku dotyczące zabezpieczania administratorów domeny w usłudze Active Directory

  1. W Menedżerze Serwera kliknij pozycję Narzędzia , a następnie kliknij Zarządzanie Zasadami Grupy .

  2. W drzewie konsoli rozwiń <Las>\Domains\<Domena>, a następnie Obiekty Zasad Grupy (gdzie <Las> jest nazwą Lasu, a <Domena> jest nazwą Domeny, gdzie chcesz ustawić zasady grupy).

  3. W drzewie konsoli kliknij prawym przyciskiem myszy na Obiekty zasad grupy, a następnie wybierz Nowy.

    Zrzut ekranu pokazujący, gdzie wybrać pozycję Nowy, aby zabezpieczyć administratorów domeny w usłudze Active Directory.

  4. W oknie dialogowym Nowy obiekt zasad grupy wpisz <Nazwa obiektu zasad grupy>, a następnie kliknij OK (gdzie <Nazwa obiektu zasad grupy> jest nazwą tego obiektu zasad grupy).

    Zrzut ekranu pokazujący, gdzie nadać nazwę zasadom grupy (GPO) w usłudze Active Directory, aby zabezpieczyć administratorów domeny.

  5. W okienku ze szczegółami kliknij prawym przyciskiem myszy <nazwę GPO>, a następnie kliknij Edytuj.

  6. Przejdź do Konfiguracja komputera\Zasady\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne, a następnie kliknij przypisywanie praw użytkownika.

    Zrzut ekranu pokazujący, gdzie przejść, aby wybrać pozycję Administrator praw użytkownika, aby zabezpieczyć administratorów domeny w usłudze Active Directory.

  7. Skonfiguruj prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny dostęp do serwerów członkowskich i stacji roboczych za pośrednictwem sieci, wykonując następujące czynności:

    1. Kliknij dwukrotnie Odmów dostępu do tego komputera z sieci i wybierz pozycję Zdefiniuj te ustawienia zasad.

    2. Kliknij Dodaj użytkownika lub grupę i kliknij Przeglądaj.

    3. Wpisz Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

      Zrzut ekranu przedstawiający sposób sprawdzania, czy skonfigurowano prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny dostęp do serwerów członków i stacji roboczych za pośrednictwem sieci.

    4. Kliknij przycisk OKi ponownie OK.

  8. Skonfiguruj prawa użytkownika, aby uniemożliwić członkom grupy DA logowanie się przy użyciu zadania wsadowego, wykonując następujące czynności:

    1. Kliknij dwukrotnie Odmów logowania jako zadanie wsadowe i wybierz Zdefiniuj te ustawienia zasad.

    2. Kliknij przycisk Dodaj użytkownika lub grupę i kliknij przycisk Przeglądaj.

    3. Wpisz Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

      Zrzut ekranu przedstawiający sposób sprawdzania, czy skonfigurowano prawa użytkownika, aby uniemożliwić członkom grupy DA logowanie się jako zadanie wsadowe.

    4. Kliknij przycisk OKi ponownie OK.

  9. Skonfiguruj prawa użytkownika, aby uniemożliwić członkom grupy DA logowanie się jako usługa, wykonując następujące czynności:

    1. Kliknij dwukrotnie Odmów logowania jako usługa i wybierz Zdefiniuj te ustawienia zasad.

    2. Kliknij Dodaj użytkownika lub grupę i kliknij Przeglądaj.

    3. Wpisz Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

      Zrzut ekranu przedstawiający sposób sprawdzania, czy skonfigurowano prawa użytkownika, aby uniemożliwić członkom grupy DA logowanie się jako usługa.

    4. Kliknij przycisk OKi ponownie OK.

  10. Skonfiguruj prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny logowanie się lokalnie do serwerów członkowskich i stacji roboczych, wykonując następujące czynności:

    1. Kliknij dwukrotnie Odmów lokalnego logowania i wybierz opcję Zdefiniuj te ustawienia polityki.

    2. Kliknij przycisk Dodaj użytkownika lub grupę i kliknij przycisk Przeglądaj.

    3. Wpisz Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

      Zrzut ekranu pokazujący, jak sprawdzić, czy skonfigurowano prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny logowanie się lokalnie do serwerów członkowskich i stacji roboczych.

    4. Kliknij przycisk OKi ponownie OK.

  11. Skonfiguruj prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny dostęp do serwerów członkowskich i stacji roboczych za pośrednictwem usług pulpitu zdalnego, wykonując następujące czynności:

    1. Kliknij dwukrotnie Odmów logowania przez Usługi pulpitu zdalnego i wybierz Zdefiniuj te ustawienia zasad.

    2. Kliknij Dodaj użytkownika lub grupę i kliknij Przeglądaj.

    3. Wpisz Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

      Zrzut ekranu przedstawiający sposób sprawdzania, czy skonfigurowano prawa użytkownika, aby uniemożliwić członkom grupy Administratorzy domeny dostęp do serwerów członkowskich i stacji roboczych za pośrednictwem usług pulpitu zdalnego

    4. Kliknij przycisk OKi ponownie OK.

  12. Aby zamknąć edytor zarządzania zasadami grupy , kliknij przycisk pliki kliknij przycisk Zakończ.

  13. W obszarze Zarządzanie zasadami grupy połącz obiekt zasad grupy z serwerem członkowskim i jednostkami organizacyjnymi stacji roboczej, wykonując następujące czynności:

    1. Przejdź do <Lasu>\Domains\<Domena> (gdzie <Las> jest nazwą lasu, a <Domena> jest nazwą domeny, w której chcesz skonfigurować zasady grupy).

    2. Kliknij prawym przyciskiem myszy jednostkę organizacyjną, do którego zostanie zastosowany obiekt zasad grupy, a następnie kliknij przycisk Połącz istniejący obiekt zasad grupy.

      Zrzut ekranu pokazujący opcję

    3. Wybierz właśnie utworzony GPO, a następnie kliknij przycisk OK.

      Zrzut ekranu pokazujący, gdzie wybrać właśnie utworzony obiekt zasad grupy podczas łączenia obiektu zasad grupy z serwerem członkowskim.

    4. Utwórz łącza do wszystkich innych jednostek organizacyjnych, które zawierają stacje robocze.

    5. Utwórz łącza do wszystkich innych jednostek organizacyjnych, które zawierają serwery członkowskie.

      Ważny

      Jeśli serwery przesiadkowe są używane do administrowania kontrolerami domeny i systemem Active Directory, upewnij się, że serwery przesiadkowe znajdują się w jednostce organizacyjnej, do której ten obiekt zasad grupy nie jest połączony.

Kroki weryfikacji

Sprawdź ustawienia GPO "Odmowa dostępu do tego komputera z sieci"

Z dowolnego serwera członkowskiego lub stacji roboczej, który nie podlega zmianom obiektu zasad grupy (na przykład "serwer przesiadkowy"), spróbuj uzyskać dostęp do serwera członkowskiego lub stacji roboczej przez sieć, który podlega zmianom obiektu zasad grupy. Aby sprawdzić ustawienia obiektu zasad grupy, spróbuj zamapować dysk systemowy przy użyciu polecenia NET USE.

  1. Zaloguj się lokalnie przy użyciu konta, które jest członkiem grupy Administratorzy domeny.

  2. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek Charms, kliknij Wyszukaj.

  3. W polu wyszukiwania wpisz wiersz polecenia, kliknij prawym przyciskiem myszy na Wiersz polecenia, a następnie kliknij Uruchom jako administrator, aby otworzyć wiersz polecenia z podwyższonym poziomem uprawnień.

  4. Po wyświetleniu monitu o zatwierdzenie podniesienia uprawnień kliknij przycisk Tak.

    Zrzut ekranu pokazujący, gdzie zatwierdzić podniesienie poziomu uprawnień podczas weryfikowania ustawień zasady GPO 'Odmowa dostępu do tej sieci komputera'.

  5. W oknie wiersza polecenia wpisz net use \\<Nazwa serwera>\c$, gdzie <Nazwa serwera> to nazwa serwera członkowskiego lub stacji roboczej, do której próbujesz uzyskać dostęp przez sieć.

  6. Poniższy zrzut ekranu przedstawia komunikat o błędzie, który powinien zostać wyświetlony.

    Zrzut ekranu przedstawiający komunikat o błędzie, który powinien zostać wyświetlony podczas próby uzyskania dostępu do serwera członkowskiego.

Sprawdź ustawienia GPO "Odmowa logowania jako zadanie wsadowe"

Z dowolnego serwera członkowskiego lub stacji roboczej, której dotyczy zmiany obiektu zasad grupy, zaloguj się lokalnie.

Utwórz plik wsadowy

  1. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek uroków, kliknij Wyszukaj.

  2. W polu wyszukiwania wpisz Notatnik, a następnie kliknij Notatnik.

  3. W Notatnikwpisz dir c:.

  4. Kliknij pozycję Plik, a następnie kliknij pozycję Zapisz jako.

  5. W polu Nazwa pliku wpisz Nazwa pliku.bat (gdzie nazwa pliku jest nazwą nowego pliku wsadowego).

Planowanie zadania

  1. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek Charms, kliknij Wyszukaj.

  2. W polu wyszukiwania wpisz harmonogram zadań, i kliknij Harmonogram Zadań.

    Notatka

    Na komputerach z systemem Windows 8 w polu wyszukiwania wpisz Harmonogram zadań, a następnie kliknij przycisk Harmonogram zadań.

  3. Na pasku menu harmonogram zadań kliknij pozycję Akcjai kliknij pozycję Utwórz zadanie.

  4. W oknie dialogowym Utwórz zadanie wpisz <Nazwa zadania> (gdzie <Nazwa zadania> jest nazwą nowego zadania).

  5. Kliknij kartę Akcje, a następnie kliknij pozycję Nowy.

  6. W polu Akcja wybierz Uruchom program.

  7. W obszarze Program/skryptkliknij pozycję Przeglądaj, znajdź i wybierz plik wsadowy stworzony w sekcji Utwórz plik wsadowy, a następnie kliknij przycisk Otwórz.

  8. Kliknij przycisk OK.

  9. Kliknij kartę Ogólne.

  10. W obszarze Opcje zabezpieczeń kliknij pozycję Zmień użytkownika lub grupę.

  11. Wpisz nazwę konta, które jest członkiem grupy Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

  12. Wybierz pozycję Uruchom niezależnie od tego, czy użytkownik jest zalogowany, czy nie i wybierz pozycję Nie przechowuj hasła. Zadanie będzie miało dostęp tylko do zasobów komputera lokalnego.

  13. Kliknij przycisk OK.

  14. Powinno zostać wyświetlone okno dialogowe z żądaniem poświadczeń konta użytkownika w celu uruchomienia zadania.

  15. Po wprowadzeniu poświadczeń kliknij przycisk OK.

  16. Powinno zostać wyświetlone okno dialogowe podobne do poniższego.

    Zrzut ekranu przedstawiający błąd, który powinien wystąpić po wprowadzeniu poświadczeń.

Sprawdź ustawienia obiektu zasad grupy "Odmowa logowania jako usługa"

  1. Z dowolnego serwera członkowskiego lub stacji roboczej, których dotyczą zmiany obiektu zasad grupy, zaloguj się lokalnie.

  2. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek Charms, kliknij Wyszukaj.

  3. W polu wyszukiwania wpisz services, a następnie kliknij pozycję Services.

  4. Znajdź i kliknij dwukrotnie Bufor wydruku.

  5. Kliknij kartę Zaloguj się.

  6. W obszarze Zaloguj się jakowybierz opcję To konto.

  7. Kliknij przycisk Przeglądaj, wpisz nazwę konta, które jest członkiem grupy Administratorzy domeny, kliknij przycisk Sprawdź nazwy, a następnie kliknij przycisk OK.

  8. W obszarze Hasło i Potwierdź hasłowpisz hasło wybranego konta, a następnie kliknij przycisk OK.

  9. Kliknij przycisk OK trzy razy.

  10. Kliknij prawym przyciskiem myszy bufor wydruku i kliknij przycisk Uruchom ponownie.

  11. Po ponownym uruchomieniu usługi powinno zostać wyświetlone okno dialogowe podobne do poniższego.

    Zrzut ekranu przedstawiający okno dialogowe wyświetlane po ponownym uruchomieniu usługi.

Cofnij zmiany w usłudze buforowania drukarek

  1. Z dowolnego serwera członkowskiego lub stacji roboczej, której dotyczy zmiany obiektu zasad grupy, zaloguj się lokalnie.

  2. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek uroków, kliknij Wyszukaj.

  3. W polu wyszukiwania wpisz usługi , a następnie kliknij pozycję Usługi .

  4. Zlokalizuj i kliknij dwukrotnie Bufor wydruku.

  5. Kliknij kartę Zaloguj się.

  6. W obszarze Zaloguj się jakowybierz konto systemu lokalnego , a następnie kliknij przycisk OK.

Sprawdź ustawienia obiektu zasad grupy (GPO) "Odmowa logowania lokalnego"

  1. Z dowolnego serwera członkowskiego lub stacji roboczej, której dotyczy zmiana obiektu zasad grupy, spróbuj zalogować się lokalnie przy użyciu konta, które jest członkiem grupy Administratorzy domeny. Powinno zostać wyświetlone okno dialogowe podobne do poniższego.

    zabezpieczanie grup administratorów domeny

Sprawdź ustawienia "Odmowa logowania za pośrednictwem usług pulpitu zdalnego" w zasady GPO

  1. Za pomocą myszy przesuń wskaźnik do prawego górnego lub prawego dolnego rogu ekranu. Gdy pojawi się pasek Charms, kliknij pozycję Wyszukaj.

  2. W wyszukaj wpisz podłączanie pulpitu zdalnego, a następnie kliknij przycisk Podłączanie pulpitu zdalnego.

  3. W polu Komputer wpisz nazwę komputera, z którym chcesz nawiązać połączenie, a następnie kliknij przycisk Połącz. (Możesz również wpisać adres IP zamiast nazwy komputera).

  4. Po wyświetleniu komunikatu podaj poświadczenia dla konta, które jest członkiem grupy Administratorzy domeny.

  5. Powinno zostać wyświetlone okno dialogowe podobne do poniższego.

    Zrzut ekranu przedstawiający komunikat wskazujący, że używana metoda logowania nie jest dozwolona.